1章电子商务安全概述

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第,3,章虚拟专用网络技术,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第,3,章虚拟专用网络技术,#,高等职业教育技能型人才培养实训教材,电子商务安全与支付技术,主编 屈武江 王斌,中国人民大学出版社,第1章 电,子,子商务,安,安全概,述,述,1.1电子商,务,务及其,安,安全概,述,述,1.2电子商,务,务的安,全,全需求,1.3电子商,务,务的安,全,全威胁,1.4电子商,务,务系统,的,的安全,性,性要求,1.5电子商,务,务的安,全,全技术,及,及安全,规,规范,1.掌握电,子,子商务,安,安全的,概,概念,2.了解电,子,子商务,的,的安全,需,需求和,安,安全威,胁,胁,3.了解电,子,子商务,的,的安全,技,技术和,安,安全规,范,范,4.了解电,子,子商务,安,安全与,支,支付技,术,术的概,况,况,学习目,标,标和要,求,求,2011年2月春节,前,前后，,多,多家全,国,国性的,商,商业银,行,行和地,方,方城市,银,银行客,户,户遭遇,大,大批量,短,短信诈,骗,骗。骗,子,子在短,信,信中声,称,称银行,动,动态口,令,令升级,，,，请储,户,户访问,指,指定网,站,站更新,。,。许多,储,储户信,以,以为真,，,，上网,登,登录了,这,这些网,站,站。将,自,自己的,银,银行卡,、,、手机,号,号等信,息,息提交,，,，并随,后,后还按,网,网站提,示,示的方,法,法，把,银,银行返,回,回的验,证,证码也,一,一并交,给,给骗子,。,。结果,导,导致大,量,量储户,资,资金被,盗,盗，损,失,失数千,元,元至数,百,百万元,不,不等。,2011年3月，知,名,名互联,网,网交互,设,设计专,家,家“一,叶,叶千鸟,”,”网购,被,被骗5万余元,。,。互联,网,网行业,老,老兵网,上,上购物,尚,尚且被,骗,骗，普,通,通网民,在,在线购,物,物面对,猖,猖獗的,网,网购木,马,马、钓,鱼,鱼网站,，,，已成,待,待宰羔,羊,羊。,2011年6月28日晚8点，新,浪,浪微博,突,突然遭,遇,遇蠕虫,式,式的“,病,病毒”,攻,攻击，,众,众多加V认证的,名,名人微,博,博自动,发,发布带,攻,攻击链,接,接的私,信,信或微,博,博。后,查,查明，,这,这是攻,击,击者利,用,用新浪,微,微博的XSS（跨站,）,）漏洞,攻,攻击，,点,点击某,个,个微博,短,短址链,接,接后，,会,会自动,加,加好友,，,，自动,发,发微博,并,并同时,传,传播攻,击,击链接,。,。结果,在,在短短,半,半小,时左右,，,，数万,人,人受波,及,及。幸,运,运的是,，,，攻击,者,者事实,上,上并无,恶,恶意，,只,只是一,次,次恶作,剧,剧，但XSS蠕虫攻,击,击的威,力,力已被,公,公众领,教,教。,2011年末，,中,中国公,众,众经历,了,了一次,大,大规模,个,个人信,息,息泄露,事,事件的,洗,洗礼，,几,几乎人,人,人自危,。,。CSDN、天涯,等,等众多,互,互联网,公,公司信,息,息被公,开,开下载,，,，截至12月29日，CNCERT通过公,开,开渠道,获,获得疑,似,似泄露,的,的数据,库,库有26个，涉,及,及帐号,、,、密码2.78亿条。,这,这些信,息,息均为,黑,黑客攻,击,击商业,网,网站后,窃,窃取并,泄,泄露到,公,公众面,前,前，而,黑,黑客手,中,中掌握,的,的公众,信,信息到,底,底有多,少,少，对,公,公众还,是,是个未,知,知数。,随着Internet的迅速,发,发展和,广,广泛应,用,用,其安全,性,性已变,得,得日益,重,重要起,来,来。,对于依,赖,赖于Internet生存的,电,电子商,务,务而言,安全问,题,题更是,网,网上企,业,业和消,费,费者亟,待,待解决,的,的头等,大,大事。,电子商,务,务已成,为,为业界,新,新热点,同时它,也,也带来,了,了商务,活,活动的,全,全新运,作,作模式,。,。商务,活,活动的,一,一系列,过,过程都,体,体现着,参,参与商,务,务行为,各,各方的,权,权利、,责,责任、,义,义务和,利,利益。,传,传统的,商,商务活,动,动模式,由于经,历,历了漫,长,长的社,会,会实,践,所以在,社,社会意,识,识、人,员,员素质,、,、职业,道,道德、,政,政策法,规,规以及,技,技术等,各,各个方,面,面都已,逐,逐步完,善,善,形成了,大,大体适,应,应的规,范,范和支,撑,撑环境,。,。然而,对于迅,速,速发展,的,的电子,商,商务热,潮,潮,这一切,却,却处于,刚,刚刚起,步,步阶段,其发展,和,和完善,将,将是一,个,个漫长,的,的过程,。,。就目,前,前来看,电子商,务,务活动,中,中的安,全,全问题,已不可,否,否认地,成,成为阻,碍,碍电子,商,商务发,展,展的一,个,个“瓶,颈,颈”。,在Internet环境中,开,开展电,子,子商务,客户、,商,商家、,银,银行等,诸,诸多参,与,与者都,会,会担心,自,自己的,利,利益是,否,否能够,真,真正得,到,到保障,。,。因此,国际组,织,织、各,国,国政府,以,以及IT业界人,士,士都在,致,致力于,安,安全问,题,题的研,究,究,期望逐,步,步把网,上,上的混,沌,沌世界,变,变得有,序,序、可,信,信、安,全,全。只,有,有保证,了,了电子,商,商务的,安,安全,才能够,吸,吸引更,多,多的社,会,会公众,投,投身于,电,电子商,务,务、应,用,用电子,商,商务,才能使,电,电子商,务,务健康,地,地生存,、,、高速,地,地发展,。,。,1.1,电,电子商,务,务及其,安,安全概,述,述,1.1,.,.1电子商,务,务的含,义,义,通俗地,说,说,电子商,务,务就是,在,在计算,机,机网络(主要指Internet)的平台,下,下,按照一,定,定标准,开,开展的,商,商务活,动,动。当,企,企业将,它,它的主,要,要业务,通,通过企,业,业内部,网,网(Intranet,),)、企业,外,外部网(Extranet,),)以及Internet与它的,职,职员、,客,客户、,供,供销商,以,以及合,作,作伙伴,直,直接相,连,连时,其中发,生,生的各,种,种活动,就,就是电,子,子商务,。,。,1.1,.,.2Internet的,发,发展,Internet起源于20世纪60年代末,美,美国的ARPAnet。ARPAnet是一个,用,用于军,事,事方面,的,的计算,机,机网络,1969年作为,一,一个试,验,验网络,投,投入运,行,行,之后逐,年,年扩大,1975年结束,试,试验交,付,付使用,。,。ARPAnet覆盖美,国,国和欧,洲,洲大部,分,分地区,把数量,很,很多、,种,种类各,异,异的计,算,算机连,接,接成一,个,个国际,性,性远程,网,网。ARPAnet的研制,过,过程为,计,计算机,网,网络的,发,发展打,下,下了理,论,论和实,践,践基础,。,。1983年,TCP/IP成为ARPAnet上的标,准,准通信,协,协议,一个真,正,正意义,上,上的Internet出现了,。,。“Internet”这个名,称,称的使,根据中,国,国互联,网,网信息,中,中心调,查,查显示,：,：截止2012年1月16日，中,国,国网民,人,人数在2011年底已,经,经突破5亿，达,到,到5.13亿人，,与,与2011上半年,相,相比增,加,加了2800万人。,目,目前中,国,国互联,网,网普及,率,率已经,高,高达38.3%，与同,期,期相比,增,增加了4个百分,点,点，随,着,着信息,技,技术的,飞,飞速发,展,展，我,国,国电子,商,商务环,境,境日趋,成,成熟。,1.1,.,.3,电,电子商,务,务的发,展,展,1991年美国,政,政府宣,布,布Internet向公众,开,开放,允许在,网,网上开,发,发商务,应,应用系,统,统。1993年Internet上出现,万,万维网,这是一,种,种具有,处,处理数,据,据、图,、,、文、,声,声、像,、,、超文,本,本对象,能,能力的,网,网络技,术,术,使Internet具备了,支,支持多,媒,媒体应,用,用的功,能,能。1995年Internet上的商,业,业业务,信,信息量,首,首次超,过,过了科,教,教业务,信,信息量,这既是Internet开始爆,炸,炸发展,的,的标志,也是电,子,子商务,大,大规模,发,发展起,步,步的标,志,志。,如今，,电,电子商,务,务正在,以,以无比,迅,迅猛的,势,势头发,展,展着。,据,据资料,显,显示，2011年我国,电,电子商,务,务交易,额,额接近6万亿元,，,，在GDP的所占,比,比重已,经,经上升,到,到13%；2007年至2010年，电,子,子商务,交,交易额,年,年均增,长,长均超,过,过30%。到2011年底，,我,我国网,络,络购物,用,用户规,模,模达到1.94亿人，,网,网络零,售,售总额,已,已经超,过,过7500亿元，,在,在社会,消,消费品,零,零售总,额,额中所,占,占比例,超,超过4%，从以,上,上资料,显,显示，,我,我国的,电,电子商,务,务发展,速,速度惊,人,人，可,以,以预见,我,我国的,电,电子商,务,务具有,良,良好的,发,发展前,景,景。,1.1,.,.4,电,电子商,务,务的安,全,全现状,1.1,.,.4.1电子商,务,务的安,全,全问题,日,日益受,到,到重视,以Internet技术为,基,基础的,电,电子商,务,务,每天需,要,要进行,千,千百万,次,次的交,易,易。Internet本身是,一,一个高,度,度开放,性,性的网,络,络,这与电,子,子商务,所,所需要,的,的保密,性,性是矛,盾,盾的,而Internet又没有,完,完整的,网,网络安,全,全体制,。,。因此,基于Internet上的电,子,子商务,在,在安全,上,上无疑,会,会受到,严,严重威,胁,胁,电子商,务,务交易,的,的安全,性,性问题,将,将是实,现,现电子,商,商务的,关,关键。,在电子,商,商务的,发,发展过,程,程中,各产业,对,对网络,的,的技术,依,依赖达,到,到空前,的,的程度,。,。军事,、,、经济,、,、社会,、,、文化,各,各方面,都,都越来,越,越依赖,于,于网络,。,。这种,高,高度依,赖,赖性使,社,社会变,得,得十分,“,“脆弱,”,”,一旦计,算,算机网,络,络受到,攻,攻击不,能,能正常,运,运作时,整个社,会,会就会,陷,陷入危,机,机的泥,沼,沼。因,此,此,电子商,务,务安全,日,日益受,到,到各国,的,的高度,重,重视。,1.1,.,.4.2黑,客,客的威,胁,胁上升,随着经,济,济信息,化,化进程,的,的加快,计算机,网,网络上,黑,黑客的,破,破坏活,动,动也随,之,之猖獗,起,起来。,黑,黑客及,黑,黑客行,为,为已对,经,经济秩,序,序、经,济,济建设,、,、国家,信,信息安,全,全构成,严,严重威,胁,胁。“,黑,黑客”,是,是英语,“,“Hacker,”,”的音译,原意是,指,指有造,诣,诣的电,脑,脑程序,设,设计者,现在则,专,专指那,些,些利用,自,自己掌,握,握的电,脑,脑技术,偷阅、,篡,篡改或,窃,窃取他,人,人机密,数,数据资,料,料,甚至在,网,网络上,犯,犯罪的,人,人,或者是,指,指利用,通,通信软,件,件,通过网,络,络非法,进,进入他,人,人的电,脑,脑系统,截获或,篡,篡改他,人,人计算,机,机中的,数,数据,危害信,息,息安全,的,的电脑,入,入侵者,。,。,电子商,务,务系统,在,在防不,胜,胜防的,破,破坏性,活,活动面,前,前,有时会,显,显得软,弱,弱无力,谁都无,法,法预测,将,将会受,到,到什么,样,样的威,胁,胁。信,息,息安全,漏,漏洞之,所,所以难,以,以堵塞,一方面,是,是由于,缺,缺乏统,一,一的信,息,息安全,标,标准、,密,密码算,法,法,协议在,安,安全与,效,效率之,间,间难以,两,两全;另一方,面,面则是,由,由于大,多,多数管,理,理者对,网,网络安,全,全不甚,了,了解。,另,另外,信息犯,罪,罪属超,越,越国界,的,的高技,术,术犯罪,要用现,有,有的法,律,律来有,效,效地防,范,范十分,困,困难,现有的,科,科技手,段,段也难,以,以侦察,到,到计算,机,机恐怖,分,分子的,行,行踪,罪犯只,需,需要一,台,台计算,机,机、一,条,条网线,、,、一个,网,网卡就,能,能远距,离,离作案,。,。,上述种,种,种原因,无形中,加,加大了,依,依法惩,治,治黑客,犯,犯罪行,为,为的难,度,度,给反黑,客,客工作,带,带来相,当,当大的,困,困难。,一,一方面,科学家,很,很难开,发,发出对,保,保障网,络,络安全,普,普遍有,效,效的技,术,术,另一方,面,面又缺,乏,乏足以,保,保证网,络,络安全,措,措施得,到,到实施,的,的社会,环,环境。,随,随着Internet的普及,电子商,务,务安全,问,问题已,成,成为信,息,息时代,必,必须尽,快,快加以,解,解决的,重,重大课,题,题。此,外,外,基于Internet的电子,商,商务在,迅,迅速发,展,展,不难想,象,象,黑客的,攻,攻击一,旦,旦得逞,整个商,务,务系统,瘫,瘫痪,将会造,成,成多么,巨,巨大的,损,损失。,1.1,.,.4.3计算机,网,网络病,毒,毒给电,子,子商务,造,造成的,损,损失继,续,续增加,目前电,子,子商务,的,的安全,问,问题比,较,较严重,，,，最突,出,出的表,现,现在计,算,算机网,络,络安全,和,和商业,诚,诚信问,题,题上，,计,计算机,网,网络病,毒,毒给电,子,子商务,造,造成了,非,非常大,的,的损失,，,，可以,这,这样说,，,，没有,任,任何一,台,台计算,机,机没有,感,感染过,计,计算机,病,病毒的,，,，都受,到,到过计,算,算机病,毒,毒的破,坏,坏。,（1）木马,病,病毒爆,炸,炸性增,长,长，变,种,种数量,的,的快速,增,增加,（2）网络,病,病毒传,播,播方式,的,的变化,（3）网络,病,病毒给,电,电子商,务,务造成,的,的损失,继,继续增,加,加,1.1,.,.4.3电子商,务,务金融,系,系统的,安,安全缺,乏,乏保障,电子商,务,务金融,使,使资金,流,流动在,网,网络里,实,实现。,同,同传统,的,的金融,管,管理方,式,式相比,电子商,务,务金融,管,管理很,不,不完善,于是电,子,子商务,金,金融系,统,统成了,犯,犯罪活,动,动的新,目,目标。,随着电,子,子商务,的,的发展,我国电,子,子商务,金,金融系,统,统中发,生,生的计,算,算机犯,罪,罪也呈,上,上升趋,势,势。近,年,年来最,大,大一起,电,电子商,务,务金融,系,系统中,的,的计算,机,机犯罪,案,案件造,成,成的经,济,济损失,高,高达人,民,民币2 100万元。,目,目前,我国已,发,发生了,多,多起利,用,用计算,机,机网络,进,进行电,子,子商务,金,金融犯,罪,罪的案,件,件。对,我,我国电,子,子商务,金,金融系,统,统安全,现,现状,专家们,有,有一些,形,形象的,比,比喻:使用不,加,加锁的,储,储柜存,放,放资金(电子商,务,务企业,缺,缺乏,安全防,护,护);使用“,公,公共汽,车,车”运,送,送钞票(电子支,付,付系统,缺,缺乏安,全,全保障);使用“,邮,邮政托,寄,寄”的,方,方式传,送,送资金(转账支,付,付缺乏,安,安全渠,道,道);使用“,商,商店柜,台,台”方,式,式存取,资,资金(授权缺,乏,乏安全,措,措施);使用“,平,平信”,邮,邮寄机,密,密信息(敏感信,息,息的传,递,递缺乏,保,保密措,施,施)。在针,对,对银行,的,的计算,机,机犯罪,案,案件中,具有破,坏,坏性的,犯,犯罪类,型,型是篡,改,改数据,而各银,行,行对数,据,据传递,、,、操作,密,密码保,护,护和储,户,户密码,保,保护都,缺,缺乏有,力,力的安,全,全措施,。,。,1.1,.,.4.4电子商,务,务安全,保,保障措,施,施尚待,加,加强,与发达,国,国家相,比,比,发展中,国,国家的,电,电子商,务,务安全,更,更显得,脆,脆弱不,堪,堪。其,原,原因是,多,多方面,的,的:发展中,国,国家的,许,许多部,门,门只看,重,重电子,商,商务的,应,应用带,来,来的巨,大,大财富,没有意,识,识到电,子,子商务,安,安全系,统,统存在,的,的漏洞,忽视电,子,子商务,支,支付系,统,统的安,全,全技术,防,防范,从而埋,下,下了安,全,全隐患;电子商,务,务安全,保,保卫工,作,作严重,滞,滞后,不少企,业,业的电,子,子商务,安,安全保,障,障工作,还,还在使,用,用传统,的,的“看,家,家护院,”,”的工,作,作模式,行之乏,效,效,没有从,管,管理制,度,度上建,立,立相应,的,的电子,化,化业务,安,安全防,范,范机制,。,。,在电子,商,商务交,易,易中,商家、,客,客户和,银,银行等,各,各参与,方,方是通,过,过开放,的,的Internet连接在,一,一起的,相互之,间,间的信,息,息传递,也,也要通,过,过Internet来进行,这一变,化,化使得,交,交易的,风,风险性,和,和不确,定,定性加,大,大,从而对,网,网络传,输,输过程,中,中数据,的,的安全,性,性和保,密,密性提,出,出了更,高,高的要,求,求,尤其对,于,于电子,商,商务支,付,付中涉,及,及的敏,感,感数据,传,传递,则更需,确,确保其,万,万无一,失,失。,电子商,务,务的安,全,全性是,由,由计算,机,机的安,全,全性,特别是,计,计算机,网,网络的,安,安全性,发,发展而,来,来的。,安,安全问,题,题是电,子,子商务,系,系统所,要,要解决,的,的核心,问,问题。,电,电子商,务,务对网,络,络及计,算,算机应,用,用系统,提,提出了,许,许多安,全,全要求,只有建,立,立起科,学,学、合,理,理的安,全,全体系,结,结构,才能保,证,证电子,商,商务交,易,易的安,全,全实施,。,。,1.2,电,电子商,务,务的安,全,全需求,Internet拉近了,人,人们的,空,空间距,离,离,使人们,在,在Internet上进行,交,交易时,根,根本不,需,需要考,虑,虑地域,的,的概念,不论身,在,在何处,都可以,随,随时交,易,易。Internet使交易,双,双方在,交,交易过,程,程中无,须,须面对,面,面,这方便,了,了交易,各,各方,但也带,来,来了极,大,大的安,全,全隐患,。,。例如,交易各,方,方的通,信,信有没,有,有安全,保,保障?交易各,方,方的身,份,份是否,真,真实?交易的,结,结果是,否,否具有,效,效力?诸如此,类,类的问,题,题使得,人,人们在,高,高喊“,大,大力发,展,展电子,商,商务”,的,的口号,的,的同时,不得不,对,对电子,商,商务的,安,安全需,求,求进行,冷,冷静的,思,思考。,1.2,.,.1,电,电子,商,商务网,站,站的安,全,全维护,企业要,想,想在Internet上开展,电,电子商,务,务业务,就必须,拥,拥有自,己,己的网,站,站,现有的,电,电子商,务,务网站,，,，大多,数,数都是,基,基于B/S结构的,，,，网站,都,都是使,用,用Web页面编,程,程语言HTML(Hyper TextMarkup Language)、Java语言等,编,编写宣,传,传介绍,自,自己企,业,业的有,关,关材料,综合运,用,用文字,、,、声音,、,、图像,向,向全世,界,界介绍,企,企业概,况,况,发布企,业,业最新,消,消息,展示产,品,品和服,务,务,介绍现,有,有的和,正,正在开,发,发中的,新,新技术,以迅速,提,提高企,业,业的知,名,名度,树立企,业,业形象,增加贸,易,易机会,。,。,但是电,子,子商务,网,网站处,于,于开放,的,的Internet环境中,网站会,经,经常受,到,到黑客,的,的有意,攻,攻击,黑客经,常,常会出,于,于商业,等,等某种,目,目的，,入,入侵到,电,电子商,务,务网站,，,，对网,站,站进行,篡,篡改、,损,损毁、,窃,窃取资,料,料。如,不,不及时,发,发现、,及,及时恢,复,复,黑客留,下,下的不,堪,堪入目,的,的“垃,圾,圾”内,容,容就会,对,对企业,形,形象造,成,成损害,，,，同时,有,有可能,使,使电子,商,商务网,站,站出现,拒,拒绝服,务,务、商,业,业信息,泄,泄露、,资,资金流,失,失等严,重,重问题,。,。在激,烈,烈的竞,争,争中,也可能,有,有竞争,对,对手在,你,你的网,页,页材料,中,中做一,些,些手脚,歪曲、,篡,篡改材,料,料中的,一,一些数,据,据或服,务,务项目,、,、服务,承,承诺,给公众,留,留下错,误,误印象,导致企,业,业陷入,被,被动甚,至,至造成,损,损失。,所,所以,企业网,页,页的安,全,全维护,是,是从事,电,电子商,务,务的企,业,业必须,重,重视的,问,问题。,1.2,.,.2,交,交易活,动,动的安,全,全保证,商务交,易,易是参,与,与各方,为,为了完,成,成“交,易,易”,而确立,信,信任关,系,系,明确在,交,交易活,动,动中的,责,责任、,权,权利、,义,义务的,严,严肃过,程,程。在,电,电子商,务,务中,参与各,方,方要在,网,网络环,境,境中使,用,用数字,化,化手段,发,发生业,务,务联系,实施上,述,述过程,。,。保证,上,上述过,程,程安全,的,的核心,措,措施是,信,信任链,的,的建立,。,。,在进行,交,交易协,商,商的过,程,程中,交易各,方,方还关,心,心交易,信,信息的,保,保密性,防止竞,争,争对手,、,、犯罪,分,分子知,晓,晓交易,信,信息,以免影,响,响自己,的,的利益;关心交,易,易信息,的,的真实,性,性、正,确,确性,防止传,输,输差错,以及因,犯,犯罪分,子,子的伪,造,造、篡,改,改而可,能,能造成,的,的纠纷;关心系,统,统和信,息,息的可,用,用性,防止因,系,系统拒,绝,绝服务,而,而造成,的,的交易,中,中断,以及防,止,止因交,易,易信息,的,的被拒,绝,绝而造,成,成的损,失,失和法,律,律纠纷,。,。,1.2,.,.3,电,电子商,务,务中的,安,安全支,付,付,支付是,商,商务活,动,动的核,心,心环节,是获得,利,利益的,最,最终体,现,现。支,付,付方式,从,从原始,的,的以物,易,易物发,展,展到以,币,币易物,后,后,长期以,来,来货币,流,流通成,为,为商品,流,流通的,基,基础和,反,反映。,随,随着电,子,子商务,的,的发展,要在网,络,络环境,下,下实施,传,传统的,货,货币支,付,付是极,不,不方便,的,的。这,种,种需求,激,激发了,对,对“电,子,子货币,”,”这种,新,新型货,币,币的研,究,究和应,用,用。,现在,正在大,力,力研究,和,和推广,使,使用的,电,电子商,务,务支付,手,手段有,智,智能卡(SmartCard)、电子,钱,钱包(ElectronicWallets)等。这,些,些支付,手,手段的,安,安全使,用,用也存,在,在一个,安,安全认,证,证的问,题,即确认,提,提,供,供的电,子,子货币,是,是不是,“,“钱”,、,、是不,是,是真“,钱,钱”、,是,是不是,被,被重复,使,使用而,失,失效的,“,“钱”,以及面,值,值多少,等,等。在,实,实名交,易,易支付,中,中,安全支,付,付问题,涉,涉及这,些,些“钱,”,”是不,是,是从真,实,实的支,付,付者手,中,中流向,真,真实的,收,收付者,手,手中,额度是,不,不是被,别,别人改,动,动过;在匿名,交,交易支,付,付中,安全支,付,付问题,涉,涉及是,不,不是能,够,够保证,交,交易者,的,的隐私;对于社,会,会管理,的,的需要,来,来说,安全支,付,付问题,涉,涉及能,不,不能提,供,供手段,对,对付如,洗,洗钱等,犯,犯罪行,为,为等。,1.2,.,.4,商,商业秘,密,密的安,全,全保护,商业秘,密,密与信,誉,誉一样,是,是人们,在,在生产,经,经营中,创,创造的,一,一类特,殊,殊的无,形,形财产,是人类,智,智力活,动,动的结,晶,晶,是一种,精,精神财,富,富,它的地,位,位和性,质,质与知,识,识产权,的,的客体发明、,商,商标、,作,作品是,一,一样的,。,。但商,业,业秘密,与,与传统,意,意义上,的,的知识,产,产权客,体,体又不,完,完全相,同,同,它是一,种,种特殊,的,的知识,产,产权形,态,态。在,商,商品经,济,济社会,中,中,它和物,质,质商品,一,一样,具有价,值,值和使,用,用价值,。,。,信息技,术,术的发,展,展,使计算,机,机成为,进,进行开,发,发和管,理,理的有,力,力手段,越来越,多,多的技,术,术信息,与,与管理,信,信息都,以,以数字,化,化、多,媒,媒体的,形,形态产,生,生、处,理,理、传,送,送和保,存,存。一,旦,旦运用,开,开放的,网,网络进,行,行经营,活,活动,经营活,动,动中所,涉,涉及的,商,商业秘,密,密就可,能,能有更,多,多的机,会,会被竞,争,争者窃,取,取。从,事,事电子,商,商务的,企,企业必,须,须高度,重,重视自,己,己拥有,的,的商业,秘,秘密,保护自,己,己赖以,生,生存、,发,发展和,获,获取利,益,益的根,本,本。,1.2,.,.5,客,客户端,系,系统的,安,安全保,护,护,在公用,互,互联网Internet上进行,的,的电子,商,商务活,动,动时，,除,除了在,交,交易过,程,程中会,面,面临一,些,些特殊,的,的安全,问,问题外,，,，毫无,疑,疑问，,还,还会涉,及,及到应,用,用电子,商,商务交,易,易活动,的,的计算,机,机系统,所,所面临,的,的一些,安,安全问,题,题。计,算,算机系,统,统包括,了,了客户,端,端计算,机,机系统,、,、服务,器,器端计,算,算机系,统,统，在,电,电子商,务,务交易,过,过程中,，,，用户,在,在客户,端,端输入,的,的敏感,信,信息（,如,如银行,卡,卡的账,号,号和密,码,码）一,旦,旦被窃,取,取，不,论,论是对,个,个人还,是,是对服,务,务商，,都,都是不,小,小的损,失,失。而,事,事实上,，,，目前,绝,绝大多,都,都没有,提,提供完,整,整的客,户,户端安,全,全整体,策略。,而,而与攻,击,击服务,器,器端相,比,比，在,客,客户端,窃,窃取信,息,息的风,险,险和难,度,度要小,得,得多，,从,从而导,致,致客户,端,端的重,要,要信息,被,被窃取,的,的事件,时,时有发,生,生。客,户,户端的,安,安全需,求,求成为,保,保护企,业,业重要,数,数据安,全,全和正,常,常运行,的,的重要,部,部分。,可,可以说,，,，任何,计,计算机,系,系统都,不,不是绝,对,对安全,的,的，不,论,论是硬,件,件还是,软,软件都,有,有可能,存,存在漏,洞,洞，尤,其,其是目,前,前大多,数,数计算,机,机使用,的,的浏览,器,器都是InternetExplorer(IE)，是目,前,前用户,群,群最大,的,的一款,浏,浏览器,软,软件。,但,但IE浏览器,存,存在着,几,几个方,面,面的安,全,全威胁,，,，如ActiveX控件、,脚,脚本漏,洞,洞等，,如,如果设,置,置不当,，,，容易,导,导致安,全,全问题,。,。,1.2,.,.6电子商,务,务中知,识,识产权,的,的保护,数字化,的,的影视,作,作品、,小,小说、,照,照片、,绘,绘画、,音,音乐、,歌,歌曲、,报,报纸杂,志,志、软,件,件程序,、,、游戏,等,等产品,可,可以实,现,现网络,传,传送,不受时,间,间和空,间,间的限,制,制,甚至不,需,需物流,运,运输,在交易,和,和支付,完,完成后,就可以,高,高效、,快,快捷地,通,通过网,络,络提供,给,给客户,。,。知识,产,产权的,侵,侵权行,为,为通常,表,表现为,篡,篡改、,假,假冒、,剽,剽窃、,盗,盗用和,不,不付酬,等,等。商,品,品的数,字,字化形,态,态给这,些,些侵权,行,行为提,供,供了方,便,便。侵,犯,犯知识,产,产权的,行,行为已,经,经成为,影,影响公,平,平交易,、,、破坏,社,社会道,德,德、影,响,响企业,利,利益的,社,社会公,害,害。除,了,了需要,依,依法与,这,这种行,为,为进行,斗,斗争外,从事电,子,子商务,的,的企业,还,还需要,运,运用技,术,术手段,来,来保护,自,自己的,利,利益。,这,这类技,术,术手段,包,包括对,数,数字化,作,作品的,版,版权提,供,供保护,的,的技术,操,操作手,段,段,能在纠,纷,纷发生,时,时提供,商,商品所,有,有者可,以,以呈堂,的,的证据,的,的技术,等等。,社会上,出,出现的,种,种种假,冒,冒伪劣,现,现象,严重损,害,害了消,费,费者和,厂,厂商的,利,利益,也使国,家,家税收,等,等经济,利,利益受,到,到严重,损,损失,甚至引,发,发涉及,国,国际贸,易,易纠纷,损害国,家,家和厂,商,商的名,誉,誉及经,济,济利益,。,。防伪,、,、打假,是,是广大,消,消费者,和,和正当,经,经营厂,商,商的强,烈,烈呼声,国家对,此,此也加,大,大了管,理,理力度,。,。在电,子,子商务,活,活动中,也需要,采,采用先,进,进技术,手,手段打,假,假、防,伪,伪,特别是,需,需要逻,辑,辑防伪,、,、隐形,防,防伪等,技,技术。,上述种,种,种安全,需,需求,绝大多,数,数是属,于,于信息,安,安全保,障,障的问,题,题。要,保,保证电,子,子商务,信,信息安,全,全,除了要,开,开发相,应,应的技,术,术外,还要加,强,强企业,内,内部管,理,理,制定相,应,应的规,章,章制度,。,。事实,上,上,据有关,资,资料显,示,示,电子商,务,务中相,当,当大比,例,例的安,全,全事故,是,是由于,内,内部管,理,理不善,造,造成的,。,。安全,方,方面的,技,技术再,先,先进,假如企,业,业内部,管,管理制,度,度不健,全,全,掌握核,心,心机密,的,的人泄,密,密,那电子,商,商务安,全,全事故,的,的发生,将,将是防,不,不胜防,的,的。此,外,外,电子商,务,务涉及,企,企业、,商,商家、,用,用户、,银,银行等,各,各方,是一项,社,社会工,程,程,有关部,门,门应抓,紧,紧制定,相,相关的,法,法律法,规,规,只有这,样,样,在出了,安,安全事,故,故之后,处理起,来,来才能,有,有法可,依,依、有,章,章可循,这反过,来,来也会,促,促进整,个,个电子,商,商务的,安,安全管,理,理,无形中,减,减少了,安,安全事,故,故的发,生,生。,1.3,电,电子商,务,务的安,全,全威胁,1.3,.,.1Internet的安全,威,威胁,Internet的出现,为,为信息,的,的交换,和,和科学,、,、技术,、,、文化,、,、教育,、,、生产,的,的发展,提,提供了,极,极大的,便,便利,并提高,了,了现代,人,人的生,活,活质量,但同时Internet也给国,家,家、企,业,业和个,人,人的信,息,息安全,带,带来极,大,大的威,胁,胁。由,于,于网络,的,的全球,性,性、开,放,放性、,无,无缝连,接,接性、,共,共享性,、,、动态,性,性发展,任何人,都,都可以,自,自由地,接,接入Internet,在其中,自,自由地,进,进行商,务,务活动,。,。从事,电,电子商,务,务的有,善,善者,也有恶,者,者,恶者会,采,采用各,种,种攻击,手,手段对,电,电子商,务,务系统,进,进行破,坏,坏。,他们对,电,电子商,务,务系统,的,的主要,威,威胁有:,(1)系统穿,透,透。,(2)违反授,权,权。,(3)植入,(4)通信监,视,视。,(5)通信窜,扰,扰。,(6)中断。,(7)拒绝服,务,务。,(8)否认。,1.3,.,.2Intranet范,围,围内的,安,安全问,题,题,1.3,.,.2.1恶意代,码,码,恶意代,码,码是指,那,那些不,请,请自来,的,的软件,它们可,能,能会在Intranet及与之,相,相连的,系,系统上,做,做出任,何,何事情,。,。它们,可,可以攻,击,击个人,计,计算机,及,及更复,杂,杂的系,统,统,包括Intranet上的服,务,务器。,防,防范恶,意,意代码,的,的最好,办,办法是,将,将它完,全,全拒之,于,于门外,。,。不幸,的,的是这,一,一点并,不,不容易,做,做到。,恶意代,码,码通常,以,以病毒,的,的形式,来,来体现,它可以,通,通过把,自,自己附,加,加到计,算,算机内,存,存或磁,盘,盘上的,程,程序里,进,进行自,我,我复制,。,。一旦,恶,恶意代,码,码被运,行,行或所,在,在环境,达,达到某,种,种特定,条,条件,它就会,干,干扰系,统,统的正,常,常运作,如在某,个,个特定,日,日子里,闪,闪现出,一,一条消,息,息来,或篡改,文,文件信,息,息,甚至捣,毁,毁硬盘,。,。,1.3,.,.2.2物理的,和,和基础,构,构造上,的,的威胁,Intranet有时会,因,因物理,的,的和基,础,础构造,上,上的威,胁,胁而遭,到,到损害,。,。这类,威,威胁有,能,能量损,耗,耗、自,然,然灾难(如水灾,、,、闪电,及,及雷击,等,等)、物理,上,上篡改,及,及硬件,上,上的破,坏,坏等。,对,对于此,类,类威胁,系统备,份,份是一,种,种简单,的,的解决,办,办法,它可以,使,使Intranet上的数,据,据不会,受,受损于,这,这种不,可,可逆转,的,的威胁,。,。因此,在实施,安,安全程,序,序时一,定,定要进,行,行系统,备,备份。,1.3,.,.2.3黑,客,客的威,胁,胁,黑客可,能,能会为,了,了各种,原,原因闯,入,入Intranet,。,。有些,黑,黑客可,能,能只想,四,四处逛,逛,逛,也,有,有一些,黑,黑客可,能,能想窃,取,取信息,或,或是破,坏,坏网络,。,。在对,付,付黑客,时,时至关,重,重要的,一,一点是,不,不要低,估,估了他,们,们对Intranet造成,的,的损害,要事,先,先做好,安,安全防,范,范工作,。,。,1.3,.,.2.4电,子,子间谍,的,的窃取,公司放,在,在Intranet,上,上的信,息,息一般,都,都是很,有,有价值,的,的,一,旦,旦公司,的,的竞争,对,对手和,敌,敌人通,过,过电子,间,间谍从Intranet上,窃,窃取了,公,公司机,密,密文件,公司,就,就可能,会,会损失,惨,惨重。,1.3,.,.2.5职,员,员的报,复,复,职员在,心,心怀不,满,满时可,能,能会在Intranet上,搞,搞个恶,作,作剧或,从,从事破,坏,坏活动,以示,报,报复。,职,职员们,是,是最熟,悉,悉公司,的,的计算,机,机系统,的,的,他,们,们清楚,地,地知道,何,何种操,作,作会造,成,成最大,的,的危害,。,。如果,一,一个职,员,员要离,开,开公司,请及,时,时地使,其,其口令,失,失效,并,并删除,其,其所有,的,的系统,账,账户。,1.3,.,.2.6Intranet的安全,性,性弱点,在建立,起,起一个Intranet并在其,上,上使用,安,安全程,序,序时,请注意,它,它可能,会,会有许,多,多安全,性,性弱点,。,。下面,列,列举主,要,要的两,个,个:,(1)口令系,统,统。,(2)TCP,/,/IP协议。,1.3,.,.3,网,网络攻,击,击,1.3,.,.3.1脆弱脚,本,本攻击,随着Internet重要性,的,的不断,增,增长，,越,越来越,多,多的应,用,用程序,都,都被放,在,在Web服务器,上,上运行,。,。如果,编,编写的,应,应用程,序,序脚本,本,本身存,在,在缺陷,，,，并且,被,被攻击,者,者利用,，,，那么,用,用户的,计,计算机,就,就处于,危,危险之,中,中。因,此,此，当,编,编写应,用,用程序,的,的时候,，,，一定,要,要假设,编,编写的,代,代码将,会,会运行,在,在最具,有,有敌意,的,的环境,中,中，根,据,据这个,条,条件来,设,设计、,编,编写并,测,测试代,码,码，以,便,便编写,安,安全的,脚,脚本文,件,件。如,果,果想检,查,查Web服务器,上,上是否,运,运行着,脆,脆弱脚,本,本，可,以,以运行,脆,脆弱扫,描,描器（,免,免费版,或,或商业,版,版都可,以,以）。,如,如果发,现,现有这,种,种脆弱,脚,脚本，,应,应当升,级,级该版,本,本（用,非,非脆弱,版,版本）,或,或换用,另,另一种,脚,脚本。,1.3,.,.3.2Web欺,骗,骗,Web欺骗是,一,一种在Internet上使用,的,的针对Web的攻击,技,技术,这种攻,击,击会泄,露,露某人,的,的隐私,或,或破坏,数,数据的,完,完整性,危及到,使,使用Web浏览器,的,的用户,包括使,用,用NetscapeNavigator和InternetExplorer的用户,。,。Web欺骗主,要,要表现,在,在下面,两,两个方,面,面:,(1)Web页面的,欺,欺诈。,(2)CGI,(,(Common GatewayInterface,通用网,关,关接口)欺骗。,1.3,.,.3.3网,络,络协议,攻,攻击,目前的,网,网络协,议,议尚不,完,完善,这方面,的,的漏洞,不,不断地,被,被发现,。,。在网,络,络中使,用,用最普,遍,遍的协,议,议就是TCP,/,/IP协议了,。,。TCP,/,/IP协议有,不,不少安,全,全漏洞,易受到,攻,攻击。,例,例如,攻击者,故,故意错,误,误地设,定,定数据,包,包中的,一,一些重,要,要的字,段,段,然后使,用,用RawSocket编程,将这些,错,错误的IP数据包,发,发送出,去,去。在,接,接收数,据,据端,由于TCP,/,/IP协议存,在,在漏洞,因而在,将,将接收,到,到的数,据,据包组,装,装成一,个,个完整,的,的数据,包,包的过,程,程中,就会使,系,系统宕,机,机、挂,起,起或导,致,致系统,崩,崩溃。,1.3,.,.3.4IP欺骗,IP欺骗是,指,指通过IP地址的,伪,伪装使,得,得某台,主,主机能,够,够冒充,具,具有某,种,种特权,或,或者被,另,另外的,主,主机所,信,信任的,主,主机。IP欺骗通,常,常都要,用,用编写,的,的程序,来,来实现,如通过,使,使用RawSoket编程,发送带,有,有假冒,的,的源IP地址的,数,数据包,来达到,自,自己的,目,目的。,另,另外,目前网,上,上还提,供,供大量,的,的可以,发,发送伪,造,造IP地址的,工,工具包,使用它,可,可以任,意,意指定,源,源IP地址而,不,不留下,自,自己的,痕,痕迹。,1.3,.,.3.5远,程,程攻击,远程攻,击,击是指,对,对远程,计,计算机,的,的专门,攻,攻击。,“,“远程,计,计算机,”,”最确,切,切的定,义,义是:它不是,你,你正在,其,其上工,作,作的平,台,台,而是能,利,利用某,协,协议通,过,过Internet或任何,其,其他网,络,络介质,被,被使用,的,的计算,机,机。进,行,行远程,攻,攻击并,不,不需要,和,和攻击,目,目标进,行,行密切,的,的接触,。,。攻击,者,者只需,识,识别出,目,目标机,及,及其所,在,在的网,络,络的类,型,型便可,进,进行攻,击,击。而,对,对目标,机,机及其,网,网络类,型,型的识,别,别无需,干,干扰目,标,标的正,常,常工作(假设目,标,标没有,安,安装防,火,火墙,因为大,部,部分的,网,网络长,期,期以来,都,都没有,安,安装防,火,火墙)。,1.3,.,.6,缓,缓冲区,溢,溢出攻,击,击,在缓冲,区,区溢出,的,的情况,中,中，服,务,务器端,的,的接收,服,服务或,者,者应用,程,程序无,法,法很好,的,的处理,过,过长的,字,字符串,。,。总的,来,来说，,缓,缓冲区,溢,溢出可,以,以发生,在,在一些,特,特殊的,元,元素、,字,字段或,者,者消息,上,上。如,果,果接收,系,系统没,有,有准备,好,好处理,未,未知长,度,度的字,段,段和消,息,息，应,用,用程序,就,就会处,在,在一个,比,比较危,险,险的境,地,地。它,有,有可能,造,造成系,统,统的崩,溃,溃，也,有,有可能,被,被黑客,利,利用获,得,得对Web服务器,的,的控制,。,。黑客,会,会通过,发,发送脆,弱,弱脚本,，,，让服,务,务器端,运,运行一,个,个由黑,客,客控制,的,的特洛,伊,伊木马,，,，来实,现,现他们,入,入侵的,目,目的。,1.3,.,.4电子交,易,易环境,的,的安全,性,性问题,传统商,务,务活动,都,都在一,个,个切实,存,存在的,场,场所进,行,行,例如在,办,办公室,、,、商场,、,、银行,营,营业厅,等,等场所,进,进行。,电,电子商,务,务活动,则,则不同,交易的,进,进行没,有,有一个,切,切实的,场,场所,而是在,虚,虚拟的Internet上进行,。,。电子,商,商务的,交,交易环,境,境安全,很大程,度,度上指,的,的就是Internet的安全,而Internet的安全,主,主要反,映,映在客,户,户机和,服,服务器,的,的安全,上,上。,1.3,.,.4.1客,户,户机的,安,安全性,问,问题,1.活动内,容,容带来,的,的安全,威,威胁,2.Java、Java小应用,程,程序、JavaScript及其网,络,络安全,3.ActiveX控件的,安,安全威,胁,胁,4.Cookie和会话,管,管理,（1）Cookie简介,Netscape公司在Navigator2.0版本中,引,引入了,“,“Cookie,”,”规范。Cookie的原本,目,目的是,为,为了让Web服务器,通,通过多,方,方的http请求来,追,追踪客,户,户。Cookie是一些Web服务器,可,可以传,送,送到使,用,用NetscapeNavigator的用户,事,事件的ASCII文本。,一旦接,收,收了它,，,，Web浏览器,就,就会在,每,每次发,出,出一个,新,新的文,件,件请求,的,的时候,发,发出一,个,个Cookie。Cookie被存储Web浏览器,的,的内存,里,里面，,永,永久的Cookie会被保,存,存到浏,览,览器中,。,。通过Cookie网站可,以,以识别,用,用户是,第,第一次,访,访问，,还,还是又,一,一次访,问,问。网,站,站还可,以,以利用Cookie了解用,户,户对哪,些,些内容,感,感兴趣,，,，收集,与,与用户,有,有关的,信,信息。,通,通过Web页面潜,入,入的有,恶,恶意的,程,程序可,使,使通常,存,存在Cookie里的信,用,用卡号,、,、用户,名,名和口,令,令等信,息,息泄密,，,，尽管Cookie本身并,没,没有恶,意,意。,如果用,户,户不想,在,在电脑,里,里存储Cookie，使Cookie失效，,可,可以改,变,变浏览,器,器的设,置,置。,（2）会话,管,管理,Web会话由,各,各种服,务,务器端,脚,脚本技,术,术实现,，,，但它,们,们一般,都,都是当,用,用户进,入,入Web站点时,启,启动，,当,当用户,关,关闭浏,览,览器或,会,会话超,时,时的时,候,候结束,。,。会话,用,用于跟,踪,踪用户,操,操作，,例,例如用,户,户向购,物,物车添,加,加条目,等,等。对Web服务器,来,来说，,如,如何进,行,行安全,的,的会话,管,管理也,是,是非常,重,重要的,。,。, 服,务,务器面,临,临的会,话,话管理,问,问题, 保,障,障会话,安,安全,1.3,.,.4.2服,务,务器的,安,安全性,问,问题,对企图,破,破坏或,非,非法获,取,取信息,的,的人来,说,说,服务器,有,有很多,弱,弱点可,被,被利用,下面详,细,细介绍,三,三个。,(1)Web服务器,的,的安全,性,性漏洞,(2)通用网,关,关接口,的,的安全,性,性漏洞,(3)其他程,序,序的安,全,全性漏,洞,洞,1.3,.,.5电子交,易,易过程,中,中的安,全,全性问,题,题,1.3,.,.5.1电子交,易,易的主,体,体对象,在电子,商,商务环,境,境中,电子交,易,易所涉,及,及的主,体,体对象,主,主要有:,(1)客户或,持,持卡人(CardHolder,),):指电子,交,交易中,的,的消费,者,者,他持有,可,可在网,上,上进行,消,消费的,一,一种或,几,几种信,用,用卡。,(2)发卡机,构,构(Issuer):指信用,卡,卡的发,卡,卡金融,机,机构,它为消,费,费者建,立,立账号,并,并发行,信,信用卡,并要求,持,持卡人,遵,遵守使,用,用信用,卡,卡的有,关,关规定(包括安,全,全、支,付,付授权,等,等)。,(3)商家(Merchant,),):即商品,或,或服务,提,提供者,它可以,是,是从事,传,传统产,业,业的供,应,应商,也可以,是,是新兴,产,产业中,的,的信息,或,或服务,提,提供商,。,。,(4)受卡行(Acquirer,),):即商家,的,的开户,银,银行,负责处,理,理信用,卡,卡的授,权,权和支,付,付。,(5)支付网,关,关(PaymentGateway):是一个,由,由受卡,行,行(或指定,的,的第三,方,方机构)操作的,设,设备,是金融,专,专用网,与,与Internet的接口,用来处,理,理商家,的,的支付,信,信息(包括客,户,户的支,付,付命令,等,等)。,1.3,.,.5.2电,子,子交易,过,过程,一个典,型,型的电,子,子交易,过,过程是,这,这样的:,(1)持卡人,通,通过浏,览,览器查,看,看网上,商,商户建,立,立的购,物,物中心,主,主页上,发,发布的,商,商品。,(2)持卡人,在,在网站,上,上购买,一,一些商,品,品，并,添,添加到,购,购物车,。,。决定,购,购买一,些,些商品,。,。,(3)持卡人,在,在该商,户,户站点,输,输入一,个,个订单,包括商,品,品名称,、,、单价,、,、总额,、,、送货,地,地址等,内,内容。,(4)持卡人,选,选择付,款,款方式,即指定,要,要用来,付,付款的,支,支付卡,如银行,发,发行的,借,借记卡,、,、信用,卡,卡或电,子,子现金,。,。,(5),持,持卡人,将,将订货,单,单和付,款,款指令,发,发给商,户,户。,(6),商,商户将,持,持卡人,的,的账号,信,信息送,到,到持卡,人,人的开,户,户银行,验,验证。,(7),商,商户接,收,收订单,。,。,(8),商,商户按,订,订单要,求,求将货,发,发给持,卡,卡人。,(9),商,商户与,持,持卡人,开,开户银,行,行结清,货,货款。,1.3,.,.5.3电子交,易,易双方,面,面临的,安,安全威,胁,胁,对于商,务,务交易,而,而言,交易对,象,象的可,靠,靠性和,交,交易过,程,程的安,全,全性直,接,接关系,到,到交易,的,的成功,与,与否。,电,电子商,务,务活动,进,进行的,场,场所是,因,因特网,而因特,网,网的安,全,全性及,交,交易双,方,方的身,份,份认证,目,目前还,需,需进一,步,步加